LỖI ACL DROP GÓI TIN TRÊN SWITCH C9300

by HaiNguyen -IT | 23/11/2023 | Lượt xem: 1423

LỖI ACL DROP GÓI TIN TRÊN C9300

Mô hình:

 

 

Trên switch , mình đặt ACL để chỉ cho phép PC admin được vào web gui của Vcenter

ip access-list extended vcenter

permit ip host 192.168.40.100 host 192.168.60.100

deny ip any any

exit

##192.168.40.100 là IP của PC

##192.168.60.100 là IP của Vcenter

int vlan 60

ip access-group vcenter out

exit

 

Nhưng bị hiện tượng là:

Từ PC chỉ truy cập được vào web gui chỗ Launch HTML5:

 

Khi bấm vào thì bị quay tròn forever ))

ACTION:

- Bấm F12 trên chrome thử thì ko thấy có link nào bị đỏ

- Bắt wireshak trên PC thì ko thấy có gói nào bị RST hoặc Retranmission

- Thử đổi ACL thành source là any thì vào OK

 

 

==> 

 

- Nên đoán là ACL đã chặn 1 IP nào đấy, khiến cho web gui không load được.

- Thử tạo ACL để debug packet

ip access-list extended 100 ##debug tạm thời

permit ip any host 192.168.60.100 (debug mọi IP truy cập tới Vcenter)

exit

!

debug ip packet 100 details ##Lệnh hiển thị các gói tin theo ACL debug bên trên.

 

Thì thấy có IP gọi tới vcenter nhưng bị ACL drop, trong đó có IP của DNS server 172.16.10.100

Vậy là thử allow thêm IP DNS server trong ACL

ip access-list extended vcenter

permit ip host 192.168.40.100 host 192.168.60.100

permit ip host  172.16.10.100 host 192.168.60.100 (thêm dòng này)

deny ip any any

exit

Test lại thì PC truy cập Vcenter OK.

Vấn đề là chưa hiểu sao Vcenter lại cần gọi tới DNS server khi admin truy cập web => phần này bên system check lại.

Bài viết cùng danh mục
Chia sẻ
Danh mục bài viết
Bài viết nổi bật
Bài viết mới nhất